Mapeamento de controle do exemplo de blueprint SWIFT CSP-CSCF v2020

O artigo a seguir detalha como o exemplo de blueprint SWIFT CSP-CSCF v2020 do Azure Blueprints mapeia para os controles SWIFT CSP-CSCF v2020. Para obter mais informações sobre os controles, consulte SWIFT CSP-CSCF v2020.

Os mapeamentos a seguir são para os controles SWIFT CSP-CSCF v2020 . Use a navegação à direita para ir diretamente para um mapeamento de controle específico. Muitos dos controles mapeados são implementados com uma iniciativa de Política do Azure. Para rever a iniciativa completa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione os controles [Preview]: Auditar os controles SWIFT CSP-CSCF v2020 e implantar extensões de VM específicas para dar suporte aos requisitos de auditoria da iniciativa de política interna.

Importante

Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias políticas, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre controles e definições de Política do Azure para este exemplo de plano de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.

1.2 e 5.1 Gestão de Contas

Este plano ajuda-o a rever contas que podem não estar em conformidade com os requisitos de gestão de contas da sua organização. Este plano atribui definições de Política do Azure que auditam contas externas com permissões de leitura, escrita e proprietário numa subscrição e contas preteridas. Ao analisar as contas auditadas por essas políticas, você pode tomar as medidas apropriadas para garantir que os requisitos de gerenciamento de contas sejam atendidos.

• As contas preteridas devem ser removidas da sua subscrição
• Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura
• Contas externas com permissões de proprietário devem ser removidas da sua subscrição
• As contas externas com permissões de leitura devem ser removidas da sua subscrição
• As contas externas com permissões de escrita devem ser removidas da sua subscrição

Gestão de Contas 2.6, 5.1, 6.4 e 6.5A | Esquemas baseados em funções

Controle de acesso baseado em função do Azure (Azure RBAC) para ajudá-lo a gerenciar quem tem acesso aos recursos no Azure. Usando o portal do Azure, você pode revisar quem tem acesso aos recursos do Azure e suas permissões. Este plano também atribui definições de Política do Azure para auditar o uso da autenticação do Azure Ative Directory para SQL Servers e Service Fabric. O uso da autenticação do Ative Directory do Azure permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft. Além disso, este plano atribui uma definição de Política do Azure para auditar o uso de regras personalizadas do RBAC do Azure. Compreender onde as regras personalizadas do RBAC do Azure são implementadas pode ajudá-lo a verificar a necessidade e a implementação adequada, já que as regras personalizadas do RBAC do Azure são propensas a erros.

• Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL
• Auditar VMs que não utilizam discos geridos
• Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente

2.9A Gestão de Contas | Monitorização de Conta / Utilização Atípica

O acesso à máquina virtual just-in-time (JIT) bloqueia o tráfego de entrada para as máquinas virtuais do Azure, reduzindo a exposição a ataques e, ao mesmo tempo, fornecendo acesso fácil para se conectar a VMs quando necessário. Todas as solicitações JIT para acessar máquinas virtuais são registradas no Registro de atividades, permitindo que você monitore o uso atípico. Este esquema atribui uma definição de Política do Azure que ajuda você a monitorar máquinas virtuais que podem dar suporte ao acesso just-in-time, mas ainda não foram configuradas.

• As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time

1.3, 5.1 e 6.4 Separação de funções

Ter apenas um proprietário de assinatura do Azure não permite redundância administrativa. Por outro lado, ter muitos proprietários de assinatura do Azure pode aumentar o potencial de uma violação por meio de uma conta de proprietário comprometida. Este plano ajuda você a manter um número apropriado de proprietários de assinatura do Azure atribuindo definições de Política do Azure que auditam o número de proprietários para assinaturas do Azure. Este plano também atribui definições de Política do Azure que ajudam a controlar a associação ao grupo Administradores em máquinas virtuais do Windows. Gerenciar permissões de proprietário de assinatura e administrador de máquina virtual pode ajudá-lo a implementar a separação apropriada de tarefas.

• Devem ser designados até 3 proprietários para a sua subscrição
• Mostrar resultados de auditoria de VMs do Windows nas quais o grupo Administradores não contém todos os membros especificados
• Implantar pré-requisitos para auditar VMs do Windows nas quais o grupo Administradores não contém todos os membros especificados
• Deve haver mais do que um proprietário atribuído à sua subscrição

1.3, 5.1 e 6.4 Privilégios mínimos | Revisão dos privilégios do usuário

O controle de acesso baseado em função do Azure (Azure RBAC) ajuda você a gerenciar quem tem acesso aos recursos no Azure. Usando o portal do Azure, você pode revisar quem tem acesso aos recursos do Azure e suas permissões. Este plano atribui definições de Política do Azure a contas de auditoria que devem ser priorizadas para revisão. A revisão desses indicadores de conta pode ajudá-lo a garantir que os controles de privilégios mínimos sejam implementados.

• Devem ser designados até 3 proprietários para a sua subscrição
• Mostrar resultados de auditoria de VMs do Windows que não ingressaram no domínio especificado
• Implantar pré-requisitos para auditar VMs do Windows que não ingressaram no domínio especificado
• Deve haver mais do que um proprietário atribuído à sua subscrição

2.2 e 2.7 Atributos de segurança

O recurso de descoberta e classificação de dados de segurança de dados avançada para o Banco de Dados SQL do Azure fornece recursos para descobrir, classificar, rotular e proteger os dados confidenciais em seus bancos de dados. Pode ser utilizada para fornecer visibilidade sobre o estado de classificação da base de dados e para controlar o acesso a dados confidenciais na base de dados e além dos respetivos limites. A segurança avançada de dados pode ajudá-lo a garantir informações associadas aos atributos de segurança apropriados para sua organização. Este plano atribui definições de Política do Azure para monitorar e impor o uso de segurança de dados avançada no SQL Server.

• A segurança de dados avançada deve estar ativada nos seus servidores SQL
• Implantar segurança avançada de dados em servidores SQL

2.2, 2.7, 4.1 e 6.1 Acesso Remoto | Monitorização/Controlo Automatizado

Este plano ajuda você a monitorar e controlar o acesso remoto atribuindo definições de Política do Azure a monitores de que a depuração remota para o aplicativo do Serviço de Aplicativo do Azure está desativada e definições de política que auditam máquinas virtuais Linux que permitem conexões remotas de contas sem senhas. Este plano também atribui uma definição de Política do Azure que ajuda a monitorar o acesso irrestrito a contas de armazenamento. O monitoramento desses indicadores pode ajudá-lo a garantir que os métodos de acesso remoto estejam em conformidade com sua política de segurança.

• Mostrar resultados de auditoria de VMs Linux que permitem conexões remotas de contas sem senhas
• Implantar pré-requisitos para auditar VMs Linux que permitem conexões remotas de contas sem senhas
• As contas de armazenamento devem restringir o acesso à rede
• A depuração remota deve ser desativada para o API App
• A depuração remota deve ser desativada para o Function App
• A depuração remota deve ser desativada para o Aplicativo Web

1.3 e 6.4 Conteúdo dos registos de auditoria | Gerenciamento centralizado do conteúdo do registro de auditoria planejado

Os dados de log coletados pelo Azure Monitor são armazenados em um espaço de trabalho do Log Analytics, permitindo a configuração e o gerenciamento centralizados. Este plano ajuda a garantir que os eventos sejam registrados atribuindo definições de Política do Azure que auditam e impõem a implantação do agente do Log Analytics em máquinas virtuais do Azure.

• [Pré-visualização]: Implementação do Agente do Audit Log Analytics - Imagem de VM (SO) não listada
• Implantar o Log Analytics Agent para VMs Linux
• Implantar o Log Analytics Agent para VMs do Windows

2.2, 2.7 e 6.4 Resposta a falhas de processamento de auditoria

Este plano atribui definições de Política do Azure que monitorizam as configurações de auditoria e registo de eventos. O monitoramento dessas configurações pode fornecer um indicador de uma falha ou configuração incorreta do sistema de auditoria e ajudá-lo a tomar medidas corretivas.

• A segurança de dados avançada deve estar ativada nos seus servidores SQL
• Definição de diagnóstico de auditoria
• A auditoria no SQL Server deve ser habilitada

1.3 e 6.4 Revisão, análise e relatórios de auditoria | Revisão e análise central

Os dados de log coletados pelo Azure Monitor são armazenados em um espaço de trabalho do Log Analytics, permitindo relatórios e análises centralizados. Este plano ajuda a garantir que os eventos sejam registrados atribuindo definições de Política do Azure que auditam e impõem a implantação do agente do Log Analytics em máquinas virtuais do Azure.

• [Pré-visualização]: Implementação do Agente do Audit Log Analytics - Imagem de VM (SO) não listada
• Implantar o Log Analytics Agent para VMs Linux
• Implantar o Log Analytics Agent para VMs do Windows

Geração de auditoria 1.3, 2.2, 2.7, 6.4 e 6.5A

Este plano ajuda você a garantir que os eventos do sistema sejam registrados atribuindo definições de Política do Azure que auditam as configurações de log nos recursos do Azure. Essas definições de política auditam e impõem a implantação do agente do Log Analytics em máquinas virtuais do Azure e a configuração de configurações de auditoria para outros tipos de recursos do Azure. Essas definições de política também auditam a configuração de logs de diagnóstico para fornecer informações sobre as operações executadas nos recursos do Azure. Além disso, a auditoria e a Segurança Avançada de Dados são configuradas em servidores SQL.

• Implantação do agente do Audit Log Analytics - Imagem de VM (SO) não listada
• Implantar o Log Analytics Agent for Linux VM Scale Sets (VMSS)
• Implantar o Log Analytics Agent para VMs Linux
• Implantar o Agente do Log Analytics para Conjuntos de Escala de VM do Windows (VMSS)
• Implantar o Log Analytics Agent para VMs do Windows
• Definição de diagnóstico de auditoria
• Auditar configurações de auditoria no nível do SQL Server
• A segurança de dados avançada deve estar ativada nos seus servidores SQL
• Implantar segurança avançada de dados em servidores SQL
• A auditoria no SQL Server deve ser habilitada
• Implantar configurações de diagnóstico para grupos de segurança de rede

1.1 Menos funcionalidade | Impedir a execução do programa

O controlo adaptativo de aplicações no Centro de Segurança do Azure é uma solução inteligente e automatizada de filtragem de aplicações de ponta a ponta que pode bloquear ou impedir a execução de software específico nas suas máquinas virtuais. O controle de aplicativo pode ser executado em um modo de imposição que proíbe a execução de aplicativos não aprovados. Este esquema atribui uma definição de Política do Azure que ajuda você a monitorar máquinas virtuais onde uma lista de permissões de aplicativo é recomendada, mas ainda não foi configurada.

• Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas

1.1 Menos funcionalidade | Software Autorizado / Permitir Listagem

O controlo adaptativo de aplicações no Centro de Segurança do Azure é uma solução inteligente e automatizada de filtragem de aplicações de ponta a ponta que pode bloquear ou impedir a execução de software específico nas suas máquinas virtuais. O controle de aplicativo ajuda você a criar listas de aplicativos aprovados para suas máquinas virtuais. Este esquema atribui uma definição de Política do Azure que ajuda você a monitorar máquinas virtuais onde uma lista de permissões de aplicativo é recomendada, mas ainda não foi configurada.

• Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas

1.1 Software instalado pelo utilizador

O controlo adaptativo de aplicações no Centro de Segurança do Azure é uma solução inteligente e automatizada de filtragem de aplicações de ponta a ponta que pode bloquear ou impedir a execução de software específico nas suas máquinas virtuais. O controle de aplicativos pode ajudá-lo a impor e monitorar a conformidade com as políticas de restrição de software. Este esquema atribui uma definição de Política do Azure que ajuda você a monitorar máquinas virtuais onde uma lista de permissões de aplicativo é recomendada, mas ainda não foi configurada.

• Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas
• As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager

4.2 Identificação e Autenticação (Utilizadores Organizacionais) | Acesso de rede a contas privilegiadas

Este modelo ajuda você a restringir e controlar o acesso privilegiado atribuindo definições de Política do Azure a contas de auditoria com permissões de proprietário e/ou gravação que não têm a autenticação multifator habilitada. A autenticação multifator ajuda a manter as contas seguras mesmo se uma parte das informações de autenticação for comprometida. Ao monitorar contas sem a autenticação multifator habilitada, você pode identificar contas com maior probabilidade de serem comprometidas.

• A MFA deve ser ativada em contas com permissões de proprietário na sua subscrição
• O MFA deve ser ativado em contas com permissões de escrita na sua subscrição

4.2 Identificação e Autenticação (Utilizadores Organizacionais) | Acesso de rede a contas não privilegiadas

Este plano ajuda você a restringir e controlar o acesso atribuindo uma definição de Política do Azure a contas de auditoria com permissões de leitura que não têm a autenticação multifator habilitada. A autenticação multifator ajuda a manter as contas seguras mesmo se uma parte das informações de autenticação for comprometida. Ao monitorar contas sem a autenticação multifator habilitada, você pode identificar contas com maior probabilidade de serem comprometidas.

• O MFA deve ser ativado em contas com permissões de leitura na sua subscrição

2.3 e 4.1 Gestão de Autenticadores

Este plano atribui definições de Política do Azure que auditam máquinas virtuais Linux que permitem conexões remotas de contas sem senhas e/ou têm permissões incorretas definidas no arquivo passwd. Este esquema também atribui definições de política que auditam a configuração do tipo de criptografia de senha para máquinas virtuais do Windows. O monitoramento desses indicadores ajuda a garantir que os autenticadores do sistema estejam em conformidade com a política de identificação e autenticação da sua organização.

• Mostrar resultados de auditoria de VMs Linux que não têm as permissões de arquivo passwd definidas como 0644
• Implantar requisitos para auditar VMs Linux que não têm as permissões de arquivo passwd definidas como 0644
• Mostrar resultados de auditoria de VMs Linux que têm contas sem senhas
• Implantar requisitos para auditar VMs Linux que tenham contas sem senhas
• Mostrar resultados de auditoria de VMs do Windows que não armazenam senhas usando criptografia reversível
• Implantar requisitos para auditar VMs do Windows que não armazenam senhas usando criptografia reversível

2.3 e 4.1 Gestão de Autenticadores | Autenticação baseada em senha

Este plano ajuda você a impor senhas fortes atribuindo definições de Política do Azure que auditam máquinas virtuais do Windows que não impõem força mínima e outros requisitos de senha. O reconhecimento de máquinas virtuais que violam a política de força da senha ajuda você a tomar ações corretivas para garantir que as senhas de todas as contas de usuário de máquinas virtuais estejam em conformidade com a política de senha da sua organização.

• Mostrar resultados de auditoria de VMs do Windows que permitem a reutilização das 24 senhas anteriores
• Mostrar resultados de auditoria de VMs do Windows que não têm uma idade máxima de senha de 70 dias
• Mostrar resultados de auditoria de VMs do Windows que não têm uma idade mínima de senha de 1 dia
• Mostrar resultados de auditoria de VMs do Windows que não têm a configuração de complexidade de senha habilitada
• Mostrar resultados de auditoria de VMs do Windows que não restringem o comprimento mínimo da senha a 14 caracteres
• Mostrar resultados de auditoria de VMs do Windows que não armazenam senhas usando criptografia reversível
• Implantar pré-requisitos para auditar VMs do Windows que permitem a reutilização das 24 senhas anteriores
• Implantar pré-requisitos para auditar VMs do Windows que não têm uma idade máxima de senha de 70 dias
• Implantar pré-requisitos para auditar VMs do Windows que não tenham uma idade mínima de senha de 1 dia
• Implantar pré-requisitos para auditar VMs do Windows que não têm a configuração de complexidade de senha habilitada
• Implantar pré-requisitos para auditar VMs do Windows que não restringem o comprimento mínimo da senha a 14 caracteres
• Implantar pré-requisitos para auditar VMs do Windows que não armazenam senhas usando criptografia reversível

2.2 e 2.7 Análise de vulnerabilidades

Este plano ajuda você a gerenciar vulnerabilidades do sistema de informações atribuindo definições de Política do Azure que monitoram vulnerabilidades do sistema operacional, vulnerabilidades SQL e vulnerabilidades de máquina virtual na Central de Segurança do Azure. A Central de Segurança do Azure fornece recursos de relatório que permitem que você tenha informações em tempo real sobre o estado de segurança dos recursos implantados do Azure. Este plano também atribui definições de política que auditam e impõem Segurança Avançada de Dados em servidores SQL. A segurança avançada de dados incluiu avaliação de vulnerabilidades e recursos avançados de proteção contra ameaças para ajudá-lo a entender as vulnerabilidades em seus recursos implantados.

• A segurança de dados avançada deve estar ativada nos seus servidores SQL
• A auditoria no SQL Server deve ser habilitada
• As vulnerabilidades na configuração de segurança nos seus conjuntos de dimensionamento de máquinas virtuais devem ser remediadas
• As vulnerabilidades em seus bancos de dados SQL devem ser corrigidas
• As vulnerabilidades na configuração de segurança nas máquinas virtuais devem ser remediadas

1.3 Proteção contra Negação de Serviço

A camada Standard de negação de serviço distribuída (DDoS) do Azure fornece recursos adicionais e recursos de mitigação sobre a camada de serviço básica. Esses recursos adicionais incluem a integração do Azure Monitor e a capacidade de revisar relatórios de mitigação pós-ataque. Este plano atribui uma definição de Política do Azure que audita se a camada DDoS Standard está habilitada. Compreender a diferença de capacidade entre as camadas de serviço pode ajudá-lo a selecionar a melhor solução para lidar com proteções de negação de serviço para seu ambiente do Azure.

• A Proteção contra DDoS do Azure deve ser habilitada

1.1 e 6.1 Proteção de fronteiras

Este plano ajuda você a gerenciar e controlar o limite do sistema atribuindo uma definição de Política do Azure que monitora as recomendações de proteção do grupo de segurança de rede na Central de Segurança do Azure. A Central de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais voltadas para a Internet e fornece recomendações de regras de grupo de segurança de rede para reduzir a superfície de ataque potencial. Além disso, esse plano também atribui definições de política que monitoram pontos de extremidade, aplicativos e contas de armazenamento desprotegidos. Pontos de extremidade e aplicativos que não são protegidos por um firewall e contas de armazenamento com acesso irrestrito podem permitir acesso não intencional às informações contidas no sistema de informações.

• As recomendações do Adaptive Network Hardening devem ser aplicadas em máquinas virtuais voltadas para a Internet
• O acesso através de terminais voltados para a Internet deve ser restrito
• Auditar o acesso irrestrito da rede às contas de armazenamento

2.9A Proteção de Fronteiras | Pontos de Acesso

O acesso à máquina virtual just-in-time (JIT) bloqueia o tráfego de entrada para as máquinas virtuais do Azure, reduzindo a exposição a ataques e, ao mesmo tempo, fornecendo acesso fácil para se conectar a VMs quando necessário. O acesso à máquina virtual JIT ajuda a limitar o número de conexões externas aos seus recursos no Azure. Este esquema atribui uma definição de Política do Azure que ajuda você a monitorar máquinas virtuais que podem dar suporte ao acesso just-in-time, mas ainda não foram configuradas.

• As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time

2.9A Proteção de Fronteiras | Serviços de Telecomunicações Externas

O acesso à máquina virtual just-in-time (JIT) bloqueia o tráfego de entrada para as máquinas virtuais do Azure, reduzindo a exposição a ataques e, ao mesmo tempo, fornecendo acesso fácil para se conectar a VMs quando necessário. O acesso à máquina virtual JIT ajuda a gerenciar exceções à sua política de fluxo de tráfego, facilitando os processos de solicitação e aprovação de acesso. Este esquema atribui uma definição de Política do Azure que ajuda você a monitorar máquinas virtuais que podem dar suporte ao acesso just-in-time, mas ainda não foram configuradas.

• As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time

2.1, 2.4, 2.4A, 2.5A e 2.6 Confidencialidade e integridade da transmissão | Proteção física criptográfica ou alternativa

Este plano ajuda-o a proteger a confidencialidade e a integridade das informações transmitidas, atribuindo definições de Política do Azure que o ajudam a monitorizar o mecanismo criptográfico implementado para protocolos de comunicações. Garantir que as comunicações sejam devidamente criptografadas pode ajudá-lo a atender aos requisitos da sua organização ou proteger as informações contra divulgação e modificação não autorizadas.

• O aplicativo de API só deve ser acessível por HTTPS
• Mostrar resultados de auditoria de servidores Web do Windows que não estão usando protocolos de comunicação seguros
• Implantar pré-requisitos para auditar servidores Web do Windows que não estão usando protocolos de comunicação seguros
• O aplicativo de função só deve ser acessível por HTTPS
• Apenas as ligações seguras à Cache de Redis devem ser ativadas
• A transferência segura para contas de armazenamento deve ser ativada
• A Aplicação Web deve ser acessível apenas através de HTTPS

2.2, 2.3, 2.5, 4.1 e 2.7 Proteção de informações em repouso | Proteção criptográfica

Este plano ajuda você a impor sua política sobre o uso de controles de criptografia para proteger as informações em repouso, atribuindo definições de Política do Azure que impõem controles de criptografia específicos e auditam o uso de configurações criptográficas fracas. Entender onde seus recursos do Azure podem ter configurações criptográficas não ideais pode ajudá-lo a tomar ações corretivas para garantir que os recursos sejam configurados de acordo com sua política de segurança das informações. Especificamente, as definições de política atribuídas por este plano exigem criptografia para contas de armazenamento de data lake; exigir criptografia de dados transparente em bancos de dados SQL; e auditar a criptografia ausente em bancos de dados SQL, discos de máquina virtual e variáveis de conta de automação.

• A segurança de dados avançada deve estar ativada nos seus servidores SQL
• Implantar segurança avançada de dados em servidores SQL
• Implantar criptografia de dados transparente do Banco de Dados SQL
• A criptografia de dados transparente em bancos de dados SQL deve ser habilitada

1.3, 2.2 e 2.7 Correção de falhas

Este plano ajuda você a gerenciar falhas do sistema de informações atribuindo definições de Política do Azure que monitoram atualizações de sistema ausentes, vulnerabilidades do sistema operacional, vulnerabilidades SQL e vulnerabilidades de máquina virtual na Central de Segurança do Azure. A Central de Segurança do Azure fornece recursos de relatório que permitem que você tenha informações em tempo real sobre o estado de segurança dos recursos implantados do Azure. Este esquema também atribui uma definição de política que garante a aplicação de patches do sistema operacional para conjuntos de dimensionamento de máquinas virtuais.

• Exigir aplicação automática de patches de imagem do SO em conjuntos de dimensionamento de máquinas virtuais
• As atualizações do sistema em conjuntos de dimensionamento de máquinas virtuais devem ser instaladas
• As atualizações do sistema devem ser instaladas em suas máquinas virtuais
• Implantação do agente de dependência de auditoria em conjuntos de dimensionamento de máquina virtual - Imagem de VM (SO) não listada
• As variáveis de conta de automação devem ser criptografadas
• As vulnerabilidades na configuração de segurança nos seus conjuntos de dimensionamento de máquinas virtuais devem ser remediadas
• As vulnerabilidades na configuração de segurança em suas máquinas virtuais devem ser corrigidas
• As vulnerabilidades em seus bancos de dados SQL devem ser corrigidas

6.1 Proteção de código malicioso

Este plano ajuda você a gerenciar a proteção de ponto de extremidade, incluindo a proteção de código mal-intencionado, atribuindo definições de Política do Azure que monitoram a proteção de ponto de extremidade ausente em máquinas virtuais na Central de Segurança do Azure e impõem a solução antimalware da Microsoft em máquinas virtuais do Windows.

• Implantar a extensão padrão Microsoft IaaSAntimalware para Windows Server
• A solução do Endpoint Protection deve ser instalada em conjuntos de dimensionamento de máquinas virtuais
• Monitorizar o Endpoint Protection em falta no Centro de Segurança do Azure
• As contas de armazenamento devem ser migradas para novos recursos do Azure Resource Manager

6.1 Proteção de códigos maliciosos | Administração Central

Este plano ajuda você a gerenciar a proteção de ponto de extremidade, incluindo a proteção de código mal-intencionado, atribuindo definições de Política do Azure que monitoram a proteção de ponto de extremidade ausente em máquinas virtuais na Central de Segurança do Azure. A Central de Segurança do Azure fornece recursos centralizados de gerenciamento e relatórios que permitem que você tenha uma visão em tempo real do estado de segurança dos recursos implantados do Azure.

• A solução do Endpoint Protection deve ser instalada em conjuntos de dimensionamento de máquinas virtuais
• Monitorizar o Endpoint Protection em falta no Centro de Segurança do Azure

1.1, 1.3, 2.2, 2.7, 2.8 e 6.4 Monitorização do Sistema de Informação

Este plano ajuda-o a monitorizar o seu sistema auditando e aplicando o registo e a segurança dos dados nos recursos do Azure. Especificamente, as políticas atribuídas auditam e impõem a implantação do agente do Log Analytics e as configurações de segurança aprimoradas para bancos de dados SQL, contas de armazenamento e recursos de rede. Esses recursos podem ajudá-lo a detetar comportamentos anômalos e indicadores de ataques para que você possa tomar as medidas apropriadas.

• Mostrar resultados de auditoria de VMs do Windows nas quais o agente do Log Analytics não está conectado conforme o esperado
• Implantar o Log Analytics Agent for Linux VM Scale Sets (VMSS)
• Implantar o Log Analytics Agent para VMs Linux
• Implantar o Agente do Log Analytics para Conjuntos de Escala de VM do Windows (VMSS)
• Implantar o Log Analytics Agent para VMs do Windows
• A segurança de dados avançada deve estar ativada nos seus servidores SQL
• As configurações avançadas de segurança de dados para o SQL Server devem conter um endereço de email para receber alertas de segurança
• Os registos de diagnóstico no Azure Stream Analytics devem estar ativados
• Implantar segurança avançada de dados em servidores SQL
• Implantar auditoria em servidores SQL
• Implantar o inspetor de rede quando redes virtuais são criadas
• Implantar a deteção de ameaças em servidores SQL

2.2 e 2.8 Monitorização do Sistema de Informação | Analise o Tráfego / Exfiltração Secreta

A Proteção Avançada contra Ameaças para o Armazenamento do Azure deteta tentativas invulgares e potencialmente prejudiciais de aceder ou explorar contas de armazenamento. Os alertas de proteção incluem padrões de acesso anómalos, extrações/carregamentos anómalos e atividade de armazenamento suspeita. Esses indicadores podem ajudá-lo a detetar a exfiltração secreta de informações.

• Implantar a deteção de ameaças em servidores SQL

Nota

A disponibilidade de definições específicas da Política do Azure pode variar no Azure Government e em outras nuvens nacionais.

Próximos passos

Agora que você analisou o mapeamento de controle do blueprint SWIFT CSP-CSCF v2020, visite os seguintes artigos para saber mais sobre o blueprint e como implantar este exemplo:

SWIFT CSP-CSCF v2020 blueprint - Visão geralSWIFT CSP-CSCF v2020 blueprint - Etapas de implantação

Artigos adicionais sobre esquemas e como os utilizar:

• Saiba mais sobre o ciclo de vida do esquema.
• Compreenda como utilizar parâmetros estáticos e dinâmicos.
• Aprenda a personalizar a ordem de sequenciação do esquema.
• Saiba como utilizar o bloqueio de recursos de esquema.
• Saiba como atualizar as atribuições existentes.